第 6 章 SNMP 組成網路管理系統的元件 SNMP 封包的欄位 SNMP 協定的資料單元 MIB 樹的結構 MIB-2 物件及物件識別碼 (object identifier) SNMP 指令及參數 SNMP 指令示範 SNMP 的安全組件及用法 NMS 的 MIB 瀏覽器 使用 NMS 示範 SNMP 訊框的捕捉及分析 網路管理 台灣培生教育出版股份有限公司 1 p. 6-3 Fig. 6.1 6.1 管理站 / 管理代理者之間的通訊 NMS 資料結構 網路管理 台灣培生教育出版股份有限公司 2
SNMP Concept (Virtual MIB) 網路管理 台灣培生教育出版股份有限公司 3 SNMP 簡單網路管理協定 (Simple Network Management Protocol) 要求 / 回應 協定 :GET,SET 遠端管理 TCP/IP 網路上的設備 對不同網路節點進行讀取及寫入狀態資訊 在 UDP 上執行 Port 161 : sending and receiving requests Port 162: receiving traps from managed devices 網路管理 台灣培生教育出版股份有限公司 4
NM Port numbers for SNMP Agent 網路管理 台灣培生教育出版股份有限公司 5 SNMP 標準 (RFC) Request for Comments (RFC) 是一系列的發展報告 通訊協定的建議及網際網路群區所使用的通訊協定標準 [ 簡單網路管理通訊協定 (SNMP)] 規格是由 Internet Engineering Task Force (IETF) 及其他工作群組發行的 RFC 所定義 網路管理 台灣培生教育出版股份有限公司 6
p. 6-4 6.1.3 管理站 SNMP SNMP 封包包含 : 版本 群體字串 SNMP 指令 傳送給 TCP/IP 協定堆疊傳輸層的一連串變數 傳輸層和較低的通訊層建立訊框標頭後, 透過網路傳送訊框給管理代理者 網路管理 台灣培生教育出版股份有限公司 7 6.2 SNMPv1 封包 p. 6-5 Fig. 6.2 Version 網路的管理站 以及管理代理者所使用的 SNMP 版本 SNMP 代表 SNMPv1, 版本欄位以 0 編碼表示 SNMPv1 Community Name 是 SNMP 的密碼 管理站及管理代理者必須使用相同的群體名稱, 否則訊框會被棄置 管理站與管理代理者也必須使用相同的 SNMP 版本, 否則訊框會被棄置 SNMP 的群體名稱沒有加密網路管理 台灣培生教育出版股份有限公司, 所以沒有防止網路入侵的安 8 全措施 SNMPv3 則對此多所改良
6.2 SNMPv1 PDU PDU Type Request ID p. 6-6 Fig. 6.3 整數, 是管理站送到管理代理者的請求識別碼 管理代理者送出的回覆也使用此欄位, 讓管理站的 SNMP 可以將請求及回覆建立關聯 網路管理 台灣培生教育出版股份有限公司 9 6.2 SNMP 封包 p. 6-7 Fig. 6.4 Variable ID 包含定義在管理資訊結構 (SMI) 規格中, 變數的物件識別碼 (OID), 物件識別碼則是定義 MIB 樹物件的路徑 Variable Value 可能是整數 8 進位字串或 IP 位址 因為管理站可以在一個請求封包中請求很多變數值, 所以 VarBindList 可以包含若干欄位的組合 網路管理 台灣培生教育出版股份有限公司 10
SNMP PDU format Command 網路管理 台灣培生教育出版股份有限公司 11 網路管理 台灣培生教育出版股份有限公司 12
GetRequest message 網路管理 台灣培生教育出版股份有限公司 13 網路管理 台灣培生教育出版股份有限公司 14
網路管理 台灣培生教育出版股份有限公司 15 6.3 SNMP 指令 p. 6-7 SNMP 定義有 5 種指令, 括號中的數字有其相關的 PDU 種類 Get-Request(0): 請求管理代理者的 MIB, 提供一個值或一組值 Get-Next-Request(1): 請求提供 MIB 樹中, 比現有的物件識別碼的詞彙順序更大的下一個物件識別碼值 管理站不斷使用這個指令後, 可以 走 過全部的 MIB 樹, 得到所有變數的值 Get-Response(2): 代理者將請求值回覆給管理站 Set-Request(3): 設定 ( 或更改 ) 管理代理者 MIB 中的值, 例如 : 在關閉設備時發出警告 Trap(4): 管理代理者主動傳送給管理站的訊息 警告訊息由管理代理者的警報 事件組合 (pair) 來啟動 警告的目的是通知管理站網路管理 台灣培生教育出版股份有限公司, 此時可能需要網 16 路管理員採取行動的事件
SNMPv1 Messages 網路管理 台灣培生教育出版股份有限公司 17 SNMPv2 PDUs 網路管理 台灣培生教育出版股份有限公司 18
6.3 SNMP Trap 指令 p. 6-7 Enterprise: 包含物件的識別碼 該識別碼是由授權廠商為發出警告訊息的設備子系統所定義 Agent Address: 網路設備的 IP 位址 Generic Trap Number: 以整數代表 SNMP RFC 1157 所定義 7 種警告 Specific Trap Number: 代碼 ; 管理站需為設備建立專用 MIB, 以了解此碼含意 Time Stamp: 設備代理者自啟動後的經過時間, 精確度可達 0.01 秒 VarBindList: 包含圖 6.4 中的全部或部份資訊, 以及其他可以用來解決問題的資訊, 例如 : 物件的識別碼 以及識別特定網路管理 台灣培生教育出版股份有限公司 19 錯誤的相關值 6.4 管理資訊結構 p. 6-8 ASN.1 界定了需定義物件的型別, 並定義物件的格式 (Appendix B) 格式包括物件名稱 型別, 例如 : 其中無論管理站是否可以存取 ; 若可存取, 其型別就可能是唯讀 可讀 - 寫 或不可存取 RFC 1155( 管理訊息結構 ) 介紹定義 MIB 的語言, 而 SMI 規範如何在 TCP/IP 網路上管理資訊 SMI 使用部分的 ASN.1 來正式定義 MIB 物件 網路管理 台灣培生教育出版股份有限公司 20
SMI Object Tree (p. 6-9) 網路管理 台灣培生教育出版股份有限公司 21 SMI Object identifier 網路管理 台灣培生教育出版股份有限公司 22
MIB 網路管理 台灣培生教育出版股份有限公司 23 MIB-II 網路管理 台灣培生教育出版股份有限公司 24
MIB Management Information Base 定義網路設備各種資訊的儲存結構 Name (OID) Type and syntax encoding MIB-II 所有網路設備皆提供的 MIB 標準 各家廠商也會提供 proprietary MIB 網路管理 台灣培生教育出版股份有限公司 25 6.4 管理資訊結構 p. 6-10 MIB-2 原本包括 10 個群組 : 系統 介面 位址翻譯 (at) 網際網路協定(ip) 網際網路控制管理協定 (icmp) 傳輸控制協定(tcp) 不可靠資料片協定 (udp) 外部閘道協定(egp) 傳輸 及簡易網路管理協定 (snmp) 後來又新增了 13 個群組, 稱為延伸 是由遠端監視 (RMON) 標準所提供 RMON 的物件包含網路區段的流量資訊 MIB-2 的物件無法滿足所有使用者及廠商的需求 所以很多廠商為其設備建立專用的 MIB 這些 MIB 列在 Enterprise 節點之下 如圖 6.6 所示, Enterprise 節點是 private(4) 節點的子節點 在使用者取得廠商提供的 MIB 後, 會編譯該物件並載入管理站中, 網路管理以存取設備中的更多物件 台灣培生教育出版股份有限公司 26
Network Management System SNMP Agent Picture sources by Cisco Systems, Inc. MIB 網路管理 台灣培生教育出版股份有限公司 27 2741 Agent Extensibility (AgentX) Protocol Version 1 (Obsoletes: 2257) 網路管理 台灣培生教育出版股份有限公司 28
p. 6-11 6.4 管理資訊結構 網路管理 台灣培生教育出版股份有限公司 29 p. 6-19 6.6 安全 - 1.authentication( 認證 ) 在 SNMP 中,authentication( 認證 ) 為安全保護的第一道防線 community name 認證管理站及代理者之間的訊息 接收器的資料庫中必須有傳送器使用的 community name, 否則訊息將會棄置 數個管理站可以存取一個管理代理者的訊息 同理, 一個管理代理者可傳送警告訊息給數個管理站 網路管理 台灣培生教育出版股份有限公司 30
p. 6-19 6.6 安全 - 2. authorization( 授權 ) authorization( 授權 ) 為安全保護提供有第二道防線 授權決定管理站對於 MIB 物件的使用權限 SNMP access mode(snmp 存取模式 ) 決定一組權限 管理代理者為 MIB 物件選擇唯讀或讀 - 寫存取模式 另一組權限是由 MIB view 指定所決定 MIB view 是一組 MIB 物件, 可以限制管理站使用 SNMP 存取模來存取物件 SNMP community profile 定義為 SNMP 存取模式及 MIBview 的組合 SNMP access policy 定義為 SNMP Community 及 SNMP Community Profile 的組合 網路管理 台灣培生教育出版股份有限公司 31 p. 6-19 管理代理者必須維護 SNMP 存取政策表 (Access Policy) 6.6 安全 網路管理 台灣培生教育出版股份有限公司 32
p. 6-21 6.7 SNMP NMS 應用程式 - Hifn Analyzer 大多數 NMS 都包含瀏覽 MIB 的應用程式 這個程式提供 MIB 的圖形化外觀, 可以輕易地清楚顯示回覆的物件值 反白顯示物件後, 再點選 Get 按鈕, 就可以建立 Get-Request 或 Get-Next-Request 指令 Set 按鈕可以更改 MIB 物件值 網路管理 台灣培生教育出版股份有限公司 33 網路管理 台灣培生教育出版股份有限公司 34
網路管理 台灣培生教育出版股份有限公司 35 網路管理 台灣培生教育出版股份有限公司 36
網路管理 台灣培生教育出版股份有限公司 37 SNMP for Windows XP 安裝 SNMP 服務 [ 開始 ] [ 控制台 ] [ 新增或移除程式 ] 及 [ 新增 / 移除 Windows 元件 ] 開啟 [Windows 元件精靈 ] 在 [ 元件 ] 中按一下 [Management and Monitoring Tools] ( 但不選取或清除其核取方塊 ), 再按 [ 詳細資料 ] 選取 [Simple Network Management Protocol] 核取方塊, 再按一下 [ 確定 ] 必須以系統管理員或 Administrators 群組的成員身分登入, 才能完成這項程序 如果電腦已連線到網路, 則網路原則設定值也可能會讓您無法完成這項程序 SNMP 會在安裝之後自動啟動 網路管理 台灣培生教育出版股份有限公司 38
網路管理 台灣培生教育出版股份有限公司 39 網路管理 台灣培生教育出版股份有限公司 40
網路管理 台灣培生教育出版股份有限公司 41 GET 網路管理 台灣培生教育出版股份有限公司 42
SET 網路管理 台灣培生教育出版股份有限公司 43 p. 6-22 6.8 SNMP 訊息的捕捉 封包有三種型別 :IP UDP 及 SNMP SNMP 使用 UDP 做為傳輸層協定, 以減少管理訊框的經常成本 表 6.4 列出 Get-Next-Request 訊息的解碼以供比較, 這些資料也顯示在圖 6.13 的 SNMP 部份, 其中的欄位則如圖 6.2 及圖 6.3 所示 網路管理 台灣培生教育出版股份有限公司 44
SnifferPro 網路管理 台灣培生教育出版股份有限公司 45 p. 6-23 p. 6-24 Fig. 6.13 6.8 SNMP 訊息的捕捉 Meterware 網路管理 台灣培生教育出版股份有限公司 46
p. 6-23 p. 6-25 Fig. 6.14 6.8 SNMP 訊息的捕捉 網路管理 台灣培生教育出版股份有限公司 47 結論 Question? Thank you! 網路管理 台灣培生教育出版股份有限公司 48